移动端登录后Cookie不安全,怎么设置才防窃取?
我最近在用 Vue 做一个移动端的登录功能,后端返回了 Set-Cookie,但我发现这些 Cookie 在 Chrome DevTools 里能直接看到,而且没加 Secure 或 HttpOnly。我担心用户在公共 Wi-Fi 下被中间人攻击偷走 Cookie,试过在 axios 请求里手动带 withCredentials,但好像没啥用。
请问在 Vue 项目里,是不是应该让后端设置 Cookie 的安全属性?还是前端也能控制?下面是我现在的登录请求代码:
<script>
import axios from 'axios';
export default {
methods: {
async login() {
const res = await axios.post('/api/login', {
username: 'test',
password: '123456'
}, { withCredentials: true });
console.log('登录成功');
}
}
}
</script>
- 1
回答
13浏览
Cookie Prefix 到底怎么用才安全?
我在做登录功能时想用 Cookie Prefix 来增强安全性,但设置 __Host- 前缀后浏览器根本不保存 cookie,这是为啥? 我后端返回的 Set-Cookie 头是这样写的:Set-Co...
- 1
回答
22浏览
SameSite Cookie 设置后登录状态不生效是怎么回事?
我最近在 React 项目里处理登录逻辑,后端设置了 Set-Cookie 响应头,包含 SameSite=Lax 和 Secure。但我在本地开发时(http://localhost:3000)发现...
- 1
回答
5浏览
Cookie 的 Domain 设置到底该怎么配才安全?
我在部署一个前后端分离的项目,后端设置 Cookie 时指定了 Domain 为 .example.com,但前端在子域名 app.example.com 下死活读不到这个 Cookie,是不是 Do...
- 1
回答
44浏览
前端设置的Cookie需要加密吗?怎么防窃取?
我在做登录功能,后端返回 token 后我用 JS 存到 Cookie 里,但听说 Cookie 容易被 XSS 偷走,是不是得加密?可前端加密好像也没用啊,密钥放哪都不安全…… 现在代码是这样存的:...
- 2
回答
47浏览
移动端设置HttpOnly和Secure后,JS为何仍能读取Cookie?
为什么移动端设置Cookie的HttpOnly; Secure属性后,JavaScript还能通过document.cookie读取到值?明明应该被阻止才对啊。 我确认服务器响应头有Set-Cooki...
- 1
回答
15浏览
前端怎么防止 Session 被劫持?Cookie 设置对了吗?
我最近在做登录功能,后端返回了 Set-Cookie 头,但我担心被 XSS 或中间人攻击偷走 Session。我看文档说要加 HttpOnly 和 Secure,但本地开发用的是 http,加了 S...
- 1
回答
52浏览
Cookie 设置了 Secure 标志后本地开发无法读取,怎么办?
我在后端设置 Cookie 时加了 Secure 标志,结果本地用 http://localhost:3000 开发时前端完全拿不到这个 Cookie,控制台也看不到。但线上 HTTPS 环境又没问题...
- 1
回答
17浏览
前端设置Cookie时如何确保安全策略正确生效?
最近在用Vue做登录功能,后端返回了Set-Cookie头,但我发现浏览器里存的Cookie没有HttpOnly和Secure标志,担心有XSS风险。我试过在axios请求里加withCredenti...
- 1
回答
14浏览
Cookie 的 Max-Age 设置为 0 真的能立即删除吗?
我在做登录登出功能时,想用设置 Max-Age=0 来清除 Cookie,但发现浏览器里 Cookie 还在,是不是我理解错了? 后端返回的 Set-Cookie 头是这样写的: Set-Cookie...
- 1
回答
22浏览
Cookie被篡改了怎么办?如何保证前端收到的Cookie没被用户修改?
我们后端设置了登录态的 Cookie,但发现有些用户手动改了 Cookie 里的 userId,然后就能访问别人的数据。明明后端做了签名验证,但前端有时候还是会拿到被篡改过的值,比如用 DevTool...
